IATF思想下的网络安全系统设计及应用
杨冠杰
摘 要: 为了减少网络异常事件发生,需要将网络管理、通信控制等方面联系起来共同进行网络防御。因此,设计信息保障技术框架(IATF)思想下的网络安全系统。设计的系统由内网、访问控制模块、外网与业务网组成,其三层网络框架使网络设施部署与信息隔离变得更加容易。访问控制模块利用IATF思想在信息传输装置上建立多层强力安全防御机制,设计网络安全防御体系与IATF信息安全防御模型,实现IATF认证与授权机制。实验结果表明,该系统的整体运行效果佳,防御性良好。
关键词: 信息保障技术框架; 网络安全系统; 三层网络框架; 防御机制; 性能测试; 认证
中图分类号: TN915.08?34; TP309 文献标识码: A 文章编号: 1004?373X(2018)01?0081?04
Abstract: In order to reduce the occurrence of network abnormal events, it is necessary to combine the network management, communication control and other aspects for network defense. Therefore, a network security system based on information assurance technology framework (IATF) was designed. The system is composed of internal network, access control module, external network and business network. And its three?layer network framework makes the network facilities deployment and information isolation easier. The IATF thought is used to establish the multi?layer powerful security defense mechanism in the information transmission device. The network security defense system and IATF information security defense model were designed to realize the IATF authentication and authorization mechanism. The experimental results show that the system has perfect overall running performance and high defensive performance.
Keywords: information assurance technology framework; network security system; three?layer network framework; defense mechanism; performance test; authentication
当前社会已经进入互联时代,网络对社会生活的方方面面皆影响深远,全球信息化更是极大地改变了社会状态,网络信息传播已成为一种极其常见的通信方式。一个国家对网络信息的应用情况标志着一个国家的互联状态,是提升综合国力、促进科技发展的关键所在。网络开放性与复杂性是不安全事件切入点,传统的网络安全系统往往只侧重于安全防御设计,不能主动避免入侵与攻击,有很大几率造成私人信息泄露与资源篡改。信息保障技术框架简称IATF,该思想能将管理、控制、策略、修正与保護等方面密切联系在一起,令网络安全系统变成能够指导安全防护方向的中心基站,建立起完整的防护机制,确保信息私密性与有效性。
1 IATF思想下的网络安全系统设计及应用
1.1 设计思想
IATF思想是指在信息传输装置上建立多层强力安全防御机制,如图1所示,IATF思想下的网络安全系统由内网、访问控制模块、外网与业务网四部分组成,共拥有三层网络框架[1]。其中,内网是基础服务网络,也是用户能够直接接触到的网络;外网负责向内网传输信息,是病毒与入侵事件的发源地,包含网络防火墙、路由器与交换机;业务网负责输出网络功能,为生产、生活、娱乐提供应用与代码的下载接口。控制模块中含有IATF信息安全防御模型,是系统的安全防御核心。
在进行IATF思想下网络安全系统的设计时,首先需要建立适当的安全防御机制,利用安全防御机制对网络信息的传输与访问实施控制,尽量避免直接调用或访问信息[2]。其次,采用PKI/CA(Public Key Infrastructure/ Certificate Authority,公共秘钥基础设施/认证中心)进行用户登录认证代理,多角度解决资源信息问题。最后,建立内网、外网虚拟隔离网络,利用IPSec(Internet Protocol Security,网络安全架构)协议远程访问虚拟隔离网络,令内网与外网之间不存在任何真实连接网络,将病毒与入侵直接隔离在外网[3],最大限度保证内网安全。
1.2 三层网络框架设计
传统网络安全系统采用平面网络框架,IATF思想下的网络安全系统则被调整成三层网络框架,这种设计使网络设施部署与信息隔离变得更加容易,可保障内网与业务网中的信息安全,外网对整个网络连接的修护能力也变得更加有效,容易同时进行多点管理与控制。
1.2.1 外网设计
外网一般面向公共网络,设有外部资源接口,因此最容易受到网络入侵[4]。外网通过路由器连接内网传输目标位置进行信息通信,合理的路由安全协议可有效防御通信过程中的病毒与入侵,IATF思想下的网络安全系统的外网路由安全协议如表1所示。
外网防火墙与入侵检测工具相连,进行基础的防御与报警任务,特别是对“拒绝服务”项目和“用户登录”项目中不合理操作的完全拦截。
1.2.2 内网与业务网设计
内网位于三层网络框架的中间层,业务网位于最底层。内网对外网、业务网进行访问时需要通过秘钥认证与授权,外网、业务网访问内网同样需要通过秘钥认证与授权。秘钥采用RSA公钥加密算法[5]进行编写,认证与授权行为皆由IATF信息安全防御模型负责。
业务网只能对内网进行访问,通过交换机实现信息传输,安全防御任务由内网防火墙全权负责。内网防火墙连接的是业务网中所有应用程序接口,IATF思想下网络安全系统进行的计算、备份、调度等功能皆在业务网中实现。
1.3 系统中的IATF思想
IATF由美国安全局制定,是一款专门针对工业与行政信息进行防御的设计思想,图2是其思想基础结构。IATF通过探测基础支持设施、网络基础设施、网络边缘以及计算环境的信息私密性、有效性、允许检验性实施网络防御[6],为网络提供自体保护、侦察与自动修护能力。
IATF的三个核心要素是用户、操作以及技术,强调用户信息私密性与安全性、操作准确性以及技术完善性,也可以理解成用户、操作、技术是保障网络安全的核心[7]。图3是根据IATF三个核心要素设计出的网络安全防御体系,这个体系以信息安全机制为出发点,令信息操作体系、技术防御体系以及防御法律法规进行相互作用,合理安排防御节点与防御内容,避免产生安全漏洞。
图4给出了具体的IATF信息安全防御模型,这个模型以图3中的网络安全防御体系为核心,对网络进行保护→检测→响应→复原→保护的循环流程操作。IATF信息安全防御模型的设计思想是加强静态、动态防御资源占用量,减少病毒、入侵响应资源占用量,侧重点在于保护与检测。这样设计可以减少网络曝光时间,防止系统在实施防御过程时产生新的安全漏洞。
2 网络安全系统中IATF思想的实现
IATF在网络安全系统中进行的认证与授权任务是系统处理核心,其机制为PKI/CA,如图5所示,系统进行的是集中认证与集中授权,前提是用户必须先通过身份检验并成功登录到系统内网[8],只存在于外网或业务网的用户是不具备认证与授权资格的。
认证与授权在内网服务器上进行,内网、外网的浏览器与业务网的应用程序都可以作为认证与授权接入点。用户、资源、行为与网络环境是认证与授权的四大要素。通过认证与授权后,用户便可借助轻量目录访问协议来访问信息。
3 实验结果与分析
本文对IATF思想下的网络安全系统进行了重点设计,对一个应用性良好的网络安全系统来讲,在优质的运行效果下全方位、无死角地提升系统防御能力是极其重要的。令本文系统在某铁路网络上进行安全防御实验,分别进行系统的性能测试与防御性验证。
3.1 性能测试
进行IATF思想下的网络安全系统性能测试旨在全面检验系统运行效果。测试对象包含安全机制、用户登录、抵御入侵服务器、异常数据隔离层、网络应用软件。测试内容包含网络响应情况与资源使用情况。
实验给予铁路网络大流量与大负载,系统性能测试工具为Quick Test Professional。Quick Test Professional是一种主动测试工具,可进行重复测试,VBScript为其脚本支持语言,该语言的普及面很广,测试工作相对容易。
本文系统的性能测试结果如表2,表3所示,结果表明,本文系统的安全机制、用户登录、抵御入侵服务器、异常数据隔离层以及网络应用软件的网络响应情况与资源使用情况均满足铁路网络的日常应用需求,能够很好地进行网络防御。
3.2 防御性验证
IATF思想下的网络安全系统的防御性表現在两个方面:一是传输代码的不可伪造性;二是信息传输结果的完整性[8]。设铁路网络需要传输的数据包为[V,]IATF思想下的网络安全系统为数据包[V]设置的通信秘钥为[h,]则传输信息的基本形式为:
[VC=V+hdID] (1)
式中:[dID]中记录的是传输起止方位身份标识码;数据包[V]传输到目标方位的传输信息与[VC]越相似,且数据包[V]越完整,系统的防御性越强。
图6,图7是在本文系统支持下铁路网络接收到的数据包相似性与完整性折线图,实验共提供10个数据包,数据包容量依次递增,平均递增步长为500 MB,数据包最大容量为30 GB,[dID]各不相同。由图6和图7可知,在本文系统的防御下,随数据包容量的不断增加,数据传输的相似性与完整性均逐渐下降。在传输30 GB数据包时,数据包相似性与完整性分别为0.965和0.994,显示出本文系统良好的防御性。
4 结 语
本文设计IATF思想下的网络安全系统,系统以IATF为指导思想构建网络安全防御结构并进行实现。利用Quick Test Professional工具测试系统性能,包括系统的安全机制、用户登录、抵御入侵服务器、异常数据隔离层以及网络应用软件的网络响应情况与资源使用情况,并设计铁路网络通信实验,验证系统防御性。实验结果表明,本文系统可通过性能测试,并具备良好的防御性,能够很好地进行网络防御。
参考文献
[1] 房潇,李玉东,马琳,等.基于模糊理论的信息系统安全防护有效性评估研究[J].计算机与数字工程,2015,43(4):661?665.
FANG Xiao, LI Yudong, MA Lin. et al. Effectiveness assessment of controls taken in information system based on fuzzy theory [J]. Computer and digital engineering, 2015, 43(4): 661?665.
[2] 呂欣,韩晓露,毕钰,等.大数据安全保障框架与评价体系研究[J].信息安全研究,2016,2(10):913?919.
L? Xin, HAN Xiaolu, BI Yu, et al. Research on the framework and evaluation system of big data security assurance [J]. Journal of information security research, 2016, 2(10): 913?919.
[3] 冯茜,王磊.无人机自动驾驶系统稳定性控制优化仿真[J].计算机仿真,2016,33(7):65?68.
FENG Qian, WANG Lei. Optimization design of the control system of UAV autonomous study [J]. Computer simulation, 2016, 33(7): 65?68.
[4] 曹冬.基于安全的逻辑关系思想在PLC编程上的应用[J].中国钼业,2016,40(6):58?60.
CAO Dong. Application of logic relation based on security in PLC programming [J]. China molybdenum industry, 2016, 40(6): 58?60.
[5] DING H. Application and design of patient temperature acquisition system based on wireless sensor network [J]. International journal of online engineering, 2017, 13(5): 18?22.
[6] 魏先勇,王化喆.基于软件的网络安全评测系统研究与设计[J].现代电子技术,2016,39(1):89?92.
WEI Xianyong, WANG Huazhe. Research and design of network security evaluation system based on software [J]. Modern electronics technique, 2016, 39(1): 89?92.
[7] 李升友,杨国梁,多英全,等.安全系统思想内涵及其应用研究:探讨用安全系统思想实现城市安全发展[J].中国安全生产科学技术,2016,12(7):145?149.
LI Shengyou, YANG Guoliang, DUO Yingquan, et al. Study on connotation of safety system idea and its application?discussion on implementing urban safety development with safety system idea [J]. Journal of safety science and technology, 2016, 12(7): 145?149.
[8] FAN Q, WANG T, CHEN Y, et al. Design and application of fuzzy logic system based on QPSO intelligent algorithm [J]. ICIC express letters, 2017, 11(1): 133?149.
摘 要: 为了减少网络异常事件发生,需要将网络管理、通信控制等方面联系起来共同进行网络防御。因此,设计信息保障技术框架(IATF)思想下的网络安全系统。设计的系统由内网、访问控制模块、外网与业务网组成,其三层网络框架使网络设施部署与信息隔离变得更加容易。访问控制模块利用IATF思想在信息传输装置上建立多层强力安全防御机制,设计网络安全防御体系与IATF信息安全防御模型,实现IATF认证与授权机制。实验结果表明,该系统的整体运行效果佳,防御性良好。
关键词: 信息保障技术框架; 网络安全系统; 三层网络框架; 防御机制; 性能测试; 认证
中图分类号: TN915.08?34; TP309 文献标识码: A 文章编号: 1004?373X(2018)01?0081?04
Abstract: In order to reduce the occurrence of network abnormal events, it is necessary to combine the network management, communication control and other aspects for network defense. Therefore, a network security system based on information assurance technology framework (IATF) was designed. The system is composed of internal network, access control module, external network and business network. And its three?layer network framework makes the network facilities deployment and information isolation easier. The IATF thought is used to establish the multi?layer powerful security defense mechanism in the information transmission device. The network security defense system and IATF information security defense model were designed to realize the IATF authentication and authorization mechanism. The experimental results show that the system has perfect overall running performance and high defensive performance.
Keywords: information assurance technology framework; network security system; three?layer network framework; defense mechanism; performance test; authentication
当前社会已经进入互联时代,网络对社会生活的方方面面皆影响深远,全球信息化更是极大地改变了社会状态,网络信息传播已成为一种极其常见的通信方式。一个国家对网络信息的应用情况标志着一个国家的互联状态,是提升综合国力、促进科技发展的关键所在。网络开放性与复杂性是不安全事件切入点,传统的网络安全系统往往只侧重于安全防御设计,不能主动避免入侵与攻击,有很大几率造成私人信息泄露与资源篡改。信息保障技术框架简称IATF,该思想能将管理、控制、策略、修正与保護等方面密切联系在一起,令网络安全系统变成能够指导安全防护方向的中心基站,建立起完整的防护机制,确保信息私密性与有效性。
1 IATF思想下的网络安全系统设计及应用
1.1 设计思想
IATF思想是指在信息传输装置上建立多层强力安全防御机制,如图1所示,IATF思想下的网络安全系统由内网、访问控制模块、外网与业务网四部分组成,共拥有三层网络框架[1]。其中,内网是基础服务网络,也是用户能够直接接触到的网络;外网负责向内网传输信息,是病毒与入侵事件的发源地,包含网络防火墙、路由器与交换机;业务网负责输出网络功能,为生产、生活、娱乐提供应用与代码的下载接口。控制模块中含有IATF信息安全防御模型,是系统的安全防御核心。
在进行IATF思想下网络安全系统的设计时,首先需要建立适当的安全防御机制,利用安全防御机制对网络信息的传输与访问实施控制,尽量避免直接调用或访问信息[2]。其次,采用PKI/CA(Public Key Infrastructure/ Certificate Authority,公共秘钥基础设施/认证中心)进行用户登录认证代理,多角度解决资源信息问题。最后,建立内网、外网虚拟隔离网络,利用IPSec(Internet Protocol Security,网络安全架构)协议远程访问虚拟隔离网络,令内网与外网之间不存在任何真实连接网络,将病毒与入侵直接隔离在外网[3],最大限度保证内网安全。
1.2 三层网络框架设计
传统网络安全系统采用平面网络框架,IATF思想下的网络安全系统则被调整成三层网络框架,这种设计使网络设施部署与信息隔离变得更加容易,可保障内网与业务网中的信息安全,外网对整个网络连接的修护能力也变得更加有效,容易同时进行多点管理与控制。
1.2.1 外网设计
外网一般面向公共网络,设有外部资源接口,因此最容易受到网络入侵[4]。外网通过路由器连接内网传输目标位置进行信息通信,合理的路由安全协议可有效防御通信过程中的病毒与入侵,IATF思想下的网络安全系统的外网路由安全协议如表1所示。
外网防火墙与入侵检测工具相连,进行基础的防御与报警任务,特别是对“拒绝服务”项目和“用户登录”项目中不合理操作的完全拦截。
1.2.2 内网与业务网设计
内网位于三层网络框架的中间层,业务网位于最底层。内网对外网、业务网进行访问时需要通过秘钥认证与授权,外网、业务网访问内网同样需要通过秘钥认证与授权。秘钥采用RSA公钥加密算法[5]进行编写,认证与授权行为皆由IATF信息安全防御模型负责。
业务网只能对内网进行访问,通过交换机实现信息传输,安全防御任务由内网防火墙全权负责。内网防火墙连接的是业务网中所有应用程序接口,IATF思想下网络安全系统进行的计算、备份、调度等功能皆在业务网中实现。
1.3 系统中的IATF思想
IATF由美国安全局制定,是一款专门针对工业与行政信息进行防御的设计思想,图2是其思想基础结构。IATF通过探测基础支持设施、网络基础设施、网络边缘以及计算环境的信息私密性、有效性、允许检验性实施网络防御[6],为网络提供自体保护、侦察与自动修护能力。
IATF的三个核心要素是用户、操作以及技术,强调用户信息私密性与安全性、操作准确性以及技术完善性,也可以理解成用户、操作、技术是保障网络安全的核心[7]。图3是根据IATF三个核心要素设计出的网络安全防御体系,这个体系以信息安全机制为出发点,令信息操作体系、技术防御体系以及防御法律法规进行相互作用,合理安排防御节点与防御内容,避免产生安全漏洞。
图4给出了具体的IATF信息安全防御模型,这个模型以图3中的网络安全防御体系为核心,对网络进行保护→检测→响应→复原→保护的循环流程操作。IATF信息安全防御模型的设计思想是加强静态、动态防御资源占用量,减少病毒、入侵响应资源占用量,侧重点在于保护与检测。这样设计可以减少网络曝光时间,防止系统在实施防御过程时产生新的安全漏洞。
2 网络安全系统中IATF思想的实现
IATF在网络安全系统中进行的认证与授权任务是系统处理核心,其机制为PKI/CA,如图5所示,系统进行的是集中认证与集中授权,前提是用户必须先通过身份检验并成功登录到系统内网[8],只存在于外网或业务网的用户是不具备认证与授权资格的。
认证与授权在内网服务器上进行,内网、外网的浏览器与业务网的应用程序都可以作为认证与授权接入点。用户、资源、行为与网络环境是认证与授权的四大要素。通过认证与授权后,用户便可借助轻量目录访问协议来访问信息。
3 实验结果与分析
本文对IATF思想下的网络安全系统进行了重点设计,对一个应用性良好的网络安全系统来讲,在优质的运行效果下全方位、无死角地提升系统防御能力是极其重要的。令本文系统在某铁路网络上进行安全防御实验,分别进行系统的性能测试与防御性验证。
3.1 性能测试
进行IATF思想下的网络安全系统性能测试旨在全面检验系统运行效果。测试对象包含安全机制、用户登录、抵御入侵服务器、异常数据隔离层、网络应用软件。测试内容包含网络响应情况与资源使用情况。
实验给予铁路网络大流量与大负载,系统性能测试工具为Quick Test Professional。Quick Test Professional是一种主动测试工具,可进行重复测试,VBScript为其脚本支持语言,该语言的普及面很广,测试工作相对容易。
本文系统的性能测试结果如表2,表3所示,结果表明,本文系统的安全机制、用户登录、抵御入侵服务器、异常数据隔离层以及网络应用软件的网络响应情况与资源使用情况均满足铁路网络的日常应用需求,能够很好地进行网络防御。
3.2 防御性验证
IATF思想下的网络安全系统的防御性表現在两个方面:一是传输代码的不可伪造性;二是信息传输结果的完整性[8]。设铁路网络需要传输的数据包为[V,]IATF思想下的网络安全系统为数据包[V]设置的通信秘钥为[h,]则传输信息的基本形式为:
[VC=V+hdID] (1)
式中:[dID]中记录的是传输起止方位身份标识码;数据包[V]传输到目标方位的传输信息与[VC]越相似,且数据包[V]越完整,系统的防御性越强。
图6,图7是在本文系统支持下铁路网络接收到的数据包相似性与完整性折线图,实验共提供10个数据包,数据包容量依次递增,平均递增步长为500 MB,数据包最大容量为30 GB,[dID]各不相同。由图6和图7可知,在本文系统的防御下,随数据包容量的不断增加,数据传输的相似性与完整性均逐渐下降。在传输30 GB数据包时,数据包相似性与完整性分别为0.965和0.994,显示出本文系统良好的防御性。
4 结 语
本文设计IATF思想下的网络安全系统,系统以IATF为指导思想构建网络安全防御结构并进行实现。利用Quick Test Professional工具测试系统性能,包括系统的安全机制、用户登录、抵御入侵服务器、异常数据隔离层以及网络应用软件的网络响应情况与资源使用情况,并设计铁路网络通信实验,验证系统防御性。实验结果表明,本文系统可通过性能测试,并具备良好的防御性,能够很好地进行网络防御。
参考文献
[1] 房潇,李玉东,马琳,等.基于模糊理论的信息系统安全防护有效性评估研究[J].计算机与数字工程,2015,43(4):661?665.
FANG Xiao, LI Yudong, MA Lin. et al. Effectiveness assessment of controls taken in information system based on fuzzy theory [J]. Computer and digital engineering, 2015, 43(4): 661?665.
[2] 呂欣,韩晓露,毕钰,等.大数据安全保障框架与评价体系研究[J].信息安全研究,2016,2(10):913?919.
L? Xin, HAN Xiaolu, BI Yu, et al. Research on the framework and evaluation system of big data security assurance [J]. Journal of information security research, 2016, 2(10): 913?919.
[3] 冯茜,王磊.无人机自动驾驶系统稳定性控制优化仿真[J].计算机仿真,2016,33(7):65?68.
FENG Qian, WANG Lei. Optimization design of the control system of UAV autonomous study [J]. Computer simulation, 2016, 33(7): 65?68.
[4] 曹冬.基于安全的逻辑关系思想在PLC编程上的应用[J].中国钼业,2016,40(6):58?60.
CAO Dong. Application of logic relation based on security in PLC programming [J]. China molybdenum industry, 2016, 40(6): 58?60.
[5] DING H. Application and design of patient temperature acquisition system based on wireless sensor network [J]. International journal of online engineering, 2017, 13(5): 18?22.
[6] 魏先勇,王化喆.基于软件的网络安全评测系统研究与设计[J].现代电子技术,2016,39(1):89?92.
WEI Xianyong, WANG Huazhe. Research and design of network security evaluation system based on software [J]. Modern electronics technique, 2016, 39(1): 89?92.
[7] 李升友,杨国梁,多英全,等.安全系统思想内涵及其应用研究:探讨用安全系统思想实现城市安全发展[J].中国安全生产科学技术,2016,12(7):145?149.
LI Shengyou, YANG Guoliang, DUO Yingquan, et al. Study on connotation of safety system idea and its application?discussion on implementing urban safety development with safety system idea [J]. Journal of safety science and technology, 2016, 12(7): 145?149.
[8] FAN Q, WANG T, CHEN Y, et al. Design and application of fuzzy logic system based on QPSO intelligent algorithm [J]. ICIC express letters, 2017, 11(1): 133?149.